ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Политика информационной безопасности ININAL предназначена для информирования всех сотрудников, поставщиков, филиалов, представителей, деловых партнеров и заинтересованных сторон о масштабах, целях, задачах, принципах и принципах информационной безопасности ININAL, а также о ролях и обязанностях, связанных с информационной безопасностью.

Настоящая политика распространяется на объем данных и информации ININAL, цели, принципы, управленческую поддержку, структуру управления рисками, непрерывность, обязанности и ответственность, требования к соблюдению и санкции, которые могут быть применены в случае нарушения.

За обеспечение актуальности и непрерывности Политики информационной безопасности отвечает Комитет по информационной безопасности. Обновления политики информационной безопасности устанавливаются на заседаниях Комитета по информационной безопасности и отражаются в документе Менеджером по информационной безопасности. При каждом обновлении документ должен быть утвержден Советом директоров. Обязанности и ответственность заинтересованных сторон в рамках этого описаны в Процедуре ролей и обязанностей в области информационной безопасности. Все руководители подразделений несут ответственность за постоянный обзор и совершенствование систем, относящихся к их сфере ответственности, а все сотрудники несут ответственность за использование и внедрение актуальной документации. Подробная информация о требованиях и правилах информационной безопасности, установленных настоящей политикой, регулируется процедурами информационной безопасности. Сотрудники компании и третьи стороны обязаны знать эти процедуры и выполнять свою работу в соответствии с этими правилами.

• Закон о платежных системах и системах расчетов по ценным бумагам, платежных услугах и организациях, занимающихся электронными деньгами,
• Положение о платежных услугах и эмиссии электронных денег, а также о поставщиках платежных услуг
• Коммюнике об информационных системах платежных учреждений и учреждений электронных денег и услугах обмена данными поставщиков платежных услуг в сфере платежных услуг.
• Коммюнике об информационных системах платежных учреждений и учреждений электронных денег и услугах обмена данными поставщиков платежных услуг в сфере платежных услуг.
• ISO/IEC 27031 Руководство по обеспечению непрерывности бизнеса системы управления информационной безопасностью
• Стандарт конфиденциальности персональных данных BS 10012
• Стандарт управления ИТ-услугами ISO 20000
• Стандарт управления непрерывностью бизнеса ISO 22301

С целью обеспечения требований информационной безопасности, вытекающих из национальных, международных или отраслевых нормативных актов, на которые он распространяется, соблюдения требований соответствующего законодательства и стандартов, выполнения обязательств, вытекающих из соглашений, корпоративной ответственности перед внутренними и внешними заинтересованными сторонами, компания Ининал

• Принимает административные и технические меры для обеспечения защиты конфиденциальности личной информации.
• Обеспечивая конфиденциальность информации, компания внедряет инфраструктуру и средства управления, которые будут защищать ее целостность и гарантировать ее постоянную доступность (возможность использования).
• Компания обеспечивает авторизацию в соответствии с принципом разделения задач в процессах анализа, проектирования, разработки, тестирования и внедрения и устанавливает механизм утверждения в критически важных процессах.
• Обеспечивает физическое и логическое разделение сред разработки, тестирования и производства.
• Обеспечивает минимальный принцип авторизации, необходимый для авторизации пользователей, и обеспечивает регулярную проверку авторизации.
• Обеспечивает сетевую безопасность от угроз, исходящих из внешних сетей.
• Устанавливает многоуровневую архитектуру безопасности и обеспечивает ее постоянный мониторинг.
• В своих услугах, которые компания предоставляет через мобильное приложение и интернет-страницу, она использует методы, которые подтверждают, что услуга предоставляется компанией.
• Обеспечивает принятие мер по обеспечению безопасности, таких как шифрование, маскировка, при передаче и хранении конфиденциальных платежных данных и личной информации.
• Обеспечивает надежность используемых ключей шифрования.
• Устанавливает защиту конфиденциальных платежных данных, используемых приложениями, работающими на мобильных устройствах (конфиденциальные платежные данные недоступны в случае утери/кражи, недоступны для использования другими приложениями).
• Периодически проводя оценки информационной безопасности, компания выявляет существующие риски; в результате оценок она анализирует планы действий и обеспечивает их выполнение.
• Принимает меры по обеспечению безопасности приложений, работающих на мобильных устройствах, предоставляет необходимые обновления.
• Создавая организацию информационной безопасности с целью обеспечения управления и координации деятельности в области информационной безопасности, компания комплексно управляет всеми своими компонентами.
• Создавая инвентаризацию активов, связанных с информацией и возможностями обработки информации, компания определяет права собственности и управляет рисками для информационных активов.
• Выполняет мероприятия по управлению инцидентами информационной безопасности, которые включают шаги по обнаружению, составлению отчетов и предотвращению повторения инцидентов информационной безопасности.
• Это позволяет поддерживать высокий уровень осведомленности сотрудников об информационной безопасности, делая осведомленность об информационной безопасности частью корпоративной культуры.
• Компания принимает необходимые меры физической и экологической безопасности для обеспечения информационной безопасности в областях, где обрабатывается информация.
• Определяет и реализует требования безопасности при приобретении, разработке и обслуживании информационных систем.
• Выполняет мероприятия по обеспечению непрерывности бизнеса, чтобы предотвратить сбои в деловой активности и обеспечить постоянный доступ к информации.
• Компания обеспечивает необходимые меры безопасности во всех соответствующих областях для контроля доступа к информации и предотвращения несанкционированного доступа.
• Следуя современным технологиям и инновациям в области информационной безопасности, разрабатывая решения, компания обеспечивает постоянное совершенствование.
• Контролируя, наблюдая и проверяя эффективность системы управления информационной безопасностью с помощью внутреннего и внешнего аудита, компания обеспечивает постоянную совместимость системы.

7. ЦЕЛИ И ЗАДАЧИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Политика информационной безопасности создана для защиты физических и электронных информационных активов, влияющих на всю работу компании, от внутренних и внешних преднамеренных или непреднамеренных угроз и призвана помочь сотрудникам компании, поставщикам, представителям, деловым партнерам и заинтересованным сторонам действовать в соответствии с требованиями безопасности компании, повысить уровень осведомленности и сознания и тем самым минимизировать риски, которые могут возникнуть в компании, сохранить надежность и имидж компании, обеспечить соблюдение установленных договоров с третьими лицами, внедрить технические меры безопасности, обеспечеть продолжение основной и вспомогательной деятельности компании с минимальными перерывами.

8. ОРГАНИЗАЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Руководство компании создает организацию информационной безопасности внутри компании. В этом контексте работа по созданию, поддержанию и управлению целостным подходом к политикам безопасности в компании осуществляется в рамках Процесса управления информационной безопасностью. Роли и обязанности по координации и управлению процессами контроля безопасности компании определяются в соответствии с Процедурой ролей и обязанностей в области информационной безопасности и назначаются соответствующим лицам. На основе достижений в области технологий безопасности создаются новые политики, которые будут учитывать возникающие потребности.

9. СТРУКТУРА УПРАВЛЕНИЯ РИСКАМИ

Подход компании к оценке рисков информационной безопасности определяется Комитетом по информационной безопасности и определяется в рамках Процесса управления информационной безопасностью. Подход к оценке рисков информационной безопасности определяет, с помощью каких методов будут определяться риски информационной безопасности компании, как будут рассчитываться уровни рисков и то, как будут оцениваться риски. Исследования по выявлению, оценке, обработке и анализу рисков, которые могут возникнуть в отношении информационных активов, проводятся в соответствии с установленным подходом к оценке рисков.

В результате исследования по оценке рисков создается "Отчет об оценке рисков информационных систем", который включает меры по снижению рисков. План информационной безопасности создается и обновляется ежегодно.

Информационная безопасность Роли и обязанности Процедура

Информационные системы Отчет об оценке рисков

Все сотрудники, поставщики, представители, деловые партнеры и заинтересованные стороны компании несут ответственность за соблюдение требований безопасности, вытекающих из соответствующих законов, нормативных актов и соглашений, прав интеллектуальной собственности, лицензионных соглашений и требований безопасности, установленных компанией. Менеджеры обеспечивают соблюдение политик безопасности и стандартов при управлении всеми процессами июле в своей зоне ответственности. Все сотрудники компании несут ответственность за использование данных компании в соответствии с их степенью конфиденциальности.

Мероприятия по обзору информационной безопасности проводятся в рамках Процесса управления информационной безопасностью для проверки соблюдения политик информационной безопасности компании. О состоянии соблюдения Политики информационной безопасности следует сообщать совету директоров не реже одного раза в год.

Изменения в законодательстве или процессах обеспечения информационной безопасности требуют пересмотра политики. Пересмотренную и обновленную политику утверждает Совет директоров. Утвержденная политика публикуется в незасекреченном виде на общем файловом сервере, к которому имеют доступ все сотрудники учреждения, и на сайте ИНИНАЛ.

Настоящая политика должна быть пересмотрена и проверена не реже (1) раза в год под руководством Администратора по информационной безопасности в рамках предоставления услуг и деятельности с учетом соображений безопасности.